Twilio confirma que hackers vazaram dados de números de telefone de 33 milhões de usuários do Authy

 (securityweek.com)
3 pontos por GN⁺ 2024-07-05 | 2 comentários | Compartilhar no WhatsApp
  • O notório grupo de hackers ShinyHunters anunciou no site BreachForums o vazamento de 33 milhões de números de telefone aleatórios relacionados ao Authy, aplicativo de 2FA da Twilio
  • As informações vazadas também incluem IDs de conta e alguns dados não pessoais
  • A Twilio publicou um alerta de segurança em seu site confirmando o vazamento de dados
  • "A Twilio detectou um agente malicioso que conseguiu identificar dados associados a contas do Authy por meio de um endpoint não autenticado. Tomamos medidas para proteger esse endpoint e ele não aceita mais requisições não autenticadas", disse a empresa
  • A Twilio afirmou que não há evidências de que os hackers tenham acessado seus sistemas ou obtido outros dados sensíveis, mas recomendou, por precaução, que os usuários do Authy instalem as atualizações de segurança mais recentes no Android e no iOS
  • "As contas do Authy não foram comprometidas, mas recomendamos que todos os usuários do Authy permaneçam vigilantes e tenham cautela com mensagens de texto recebidas, pois agentes maliciosos podem usar números de telefone associados a contas do Authy em ataques de phishing e smishing", disse a Twilio

Opinião do GN⁺

  • O incidente de vazamento de dados da Twilio destaca a importância de endpoints não autenticados. Isso mostra como é crucial manter endpoints seguros
  • Usuários do Authy devem redobrar a atenção contra ataques de phishing e smishing. O vazamento de números de telefone pode aumentar a incidência desse tipo de ataque
  • A Twilio respondeu rapidamente para proteger o endpoint, mas outras empresas também devem se preparar para situações semelhantes. Medidas preventivas são importantes
  • A atividade de grupos de hackers como o ShinyHunters continua aumentando. As empresas precisam verificar e reforçar continuamente sua postura de segurança
  • Outros aplicativos de segurança com funcionalidades semelhantes incluem Google Authenticator e Microsoft Authenticator. Os usuários podem considerar diferentes opções

Leituras relacionadas

2 comentários

 
GN⁺ 2024-07-05
Opiniões do Hacker News

  • Meu número de telefone apareceu em vários vazamentos de dados, então o spam aumentou muito

    • A rede telefônica tradicional corre o risco de desaparecer como o fax por causa do problema de spam
    • Até as ligações com a família estão sendo feitas por FaceTime, Zoom, Meet etc.
    • Não consigo me lembrar da última ligação legítima pela rede telefônica tradicional
    • Essas plataformas provavelmente vão adicionar anúncios se dominarem totalmente o mercado
    • Basta ver o caso do Gmail, que monetizou o email

  • Não faz sentido o Authy exigir número de celular e endereço de email

    • Não preciso de sincronização na nuvem nem de backup
    • Armazenar informações dos usuários na nuvem pode transformá-las em alvo de ataques
    • Isso vai contra o espírito do 2FA

  • A Twilio exige o Authy para o 2FA do SendGrid e da própria Twilio

    • Não oferece suporte a 2FA padronizado, então não dá para usar o 1Password
    • Fui forçado a usar o Authy e mesmo assim ainda houve problema
    • A Twilio não deveria empurrar uma solução personalizada para os usuários

  • Há insatisfação com o fato de muitas organizações e empresas pedirem informações pessoais logo no primeiro contato

    • Até prestadores de serviços médicos enviam dados de clientes em emails de texto simples
    • Eles ainda afirmam deter os direitos autorais dos documentos que entregam com os resultados médicos
    • As pessoas dão notas altas para esses serviços, mas na prática não leem os termos de uso

  • Foi encontrada uma vulnerabilidade de exposição de informações no endpoint de cadastro de usuários

    • Pelo número de telefone de usuários do Authy, era possível consultar outros números, dispositivos, timestamps, endereços de email etc.
    • Levou 2 anos para esse problema ser corrigido

  • Uso o app iOS do Authy para gerar tokens de 2FA, mas não me lembro de ter digitado meu número de telefone

    • Ainda estão verificando se isso é um problema do próprio app cliente no iOS ou se afeta apenas usuários que criaram uma conta online

  • A Twilio conseguia identificar dados relacionados a contas do Authy por causa de um endpoint não autenticado

    • Esse endpoint foi protegido e não aceita mais requisições não autenticadas
    • Para evitar esse tipo de problema no próprio app, é preciso exigir autenticação em todas as requisições e aplicar segurança em nível de linha
    • É possível detectar esse tipo de falha com frameworks de teste

  • Se você não usa o esquema de autenticação customizado do Authy, agora é a hora de exportar seus dados

    • Só é possível exportar os tokens TOTP brutos na versão desktop
    • Depois de carregar os tokens no app desktop, é preciso fazer downgrade para uma versão anterior e executar uma função JavaScript

  • No iPhone, ao ativar o modo Não Perturbe, todas as ligações vão para a caixa postal

    • Só tocam chamadas repetidas de contatos de emergência, favoritos e pessoas no foco 1by1
    • No Android, a mesma configuração não funciona
    • Se você portar seu número para o Google Voice ou Fi, dá para filtrar ligações de spam

  • Eu criei o ente.io/auth

    • Se você precisa de um autenticador multiplataforma, vale a pena conferir
    • FOSS, com backup e2ee opcional